Falls der Kernel-Logger klogd aus dem sysklogd-Paket geeignete Daten vom Kernel erhält, stellt er die weitere Logging-Tätigkeit ein.

Betroffene Systeme

• Systeme, die den Linux-Kernel in Verbindung mit sysklogd verwenden (also die meisten GNU/Linux-Systeme).

Einfallstor
Vermutlich ist interaktiver Zugang nötig, aber eine Einschätzung ist schwierig.

Auswirkung
denial of service, der Kernel-Logger stellt die Arbeit ein.

Typ der Verwundbarkeit
Schachtelung von Parsern, die zu einer Endlosschleife führt.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Falls der Kernel ein NUL-Zeichen (ASCII 000) über die Logging-Schnittstelle an klogd weiterreicht, gerät klogd in eine Endlosschleife, die nicht nur unnötig CPU-Zyklen verbraucht, sondern auch weiteres Logging verhindert. Es ist gegenwärtig unklar, unter welchen Voraussetzungen der Kernel ein NUL-Zeichen loggt; möglicherweise kann ein lokaler Nutzer (oder gar ein Angreifer über das Netz) das Logging gezielt abstellen. Da davon auch das Logging des Paketfilters betroffen ist, kann das u.U. ausgesprochen unerwünscht sein.

Gegenmaßnahmen

• Installation einer gepatchten Version von sysklogd (siehe z.B. die Debian-Bugdatenbank).

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/